排查 DirectAccess 问题

试用我们的虚拟代理 - 它可以帮助你快速识别和修复常见的 DirectAccess 问题。

本文提供有关对 DirectAccess 部署进行故障排除的信息。

适用于：Windows Server 2022、Windows Server 2019、Windows Server 2016

按照以下步骤排查远程访问 (DirectAccess) 问题。

问题	解决方案
远程访问管理控制台无法显示 DirectAccess 配置	若要还原缺少的配置信息，请执行以下操作： - 如果要对多站点部署进行故障排除，请确保离入口点最近的域控制器可用。 - 使用 Get-DAEntrypointDC cmdlet 检索最靠近入口点的域控制器的名称。 如果域控制器未运行，请使用 Set-DAEntryPointDC cmdlet 指向另一个域控制器。 - 在服务器上从提升的命令提示符运行gpresult，以确保服务器获取 DirectAccess 组策略 对象。 - 启用用户界面 (UI) 日志记录。 - 使用以下命令启动Windows PowerShell日志记录：logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets <repro> - 关闭并重新打开用户界面。 - 禁用Windows PowerShell日志记录。 收集事件跟踪日志文件。 此外，从 %windir%\tracing 文件夹中收集所有日志。
应用 DirectAccess 配置失败	若要刷新 DirectAccess 配置，请执行以下操作： - 如果要对多站点部署进行故障排除，请确保离入口点最近的域控制器可用。 - 使用 Get-DAEntrypointDC cmdlet 检索最靠近入口点的域控制器的名称。 如果域控制器未运行，请使用 Set-DAEntryPointDC cmdlet 指向另一个域控制器。 - 使用以下命令启动Windows PowerShell日志记录： logman create trace ETWTrace -ow -o c:\ETWTrace.etl -p {AAD4C46D-56DE-4F98-BDA2-B5EAEBDD2B04} 0xffffffffffffffff 0xff -nb 16 16 -bs 1024 -mode 0x2 -max 2048 -ets logman update trace ETWTrace -p {62DFF3DA-7513-4FCA-BC73-25B111FBB1DB} 0xffffffffffffffff 0xff -ets <repro> - 选择“ 应用”。 - 发生故障后，禁用Windows PowerShell日志记录，并收集事件跟踪日志。
DirectAccess 已配置，但客户端无法连接到内部资源	若要排查客户端连接问题，请执行以下操作： - 在远程访问管理控制台中选择“ 操作状态 ”选项卡，并确保所有组件都显示绿色图标。 如果没有，检查错误详细信息并按照解决步骤进行操作。 - (BPA) 运行远程访问服务器最佳做法分析器。 如果有任何警告或错误，请按照解决步骤解决问题。
遇到与多站点配置相关的问题 (例如，启用多站点、添加入口点或设置入口点的域控制器)	按照 排查多站点部署问题中的步骤操作。
仪表板上的配置状态磁贴显示警告或错误	按照 监视远程访问服务器的配置分发状态中的步骤操作。
遇到与配置负载均衡相关的问题 (例如，启用负载均衡时配置失败，或者从群集添加或删除服务器时出现问题)	如果启用负载均衡或添加节点，并在选择 “应用”时刷新配置，但群集在服务器上未正确形成，请运行以下命令： cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v DebugFlag /t REG_DWORD /d ""0xffffffff"" " 以收集新服务器上的用户界面日志。
执行以下步骤以更正情况后，操作状态显示错误或警告	如果操作状态显示错误信息 (（例如错误），即使修复它们) ： - 启用注册表项 cmd.exe /c "reg add HKLM\SYSTEM\CurrentControlSet\Services\RaMgmtSvc\Parameters /f /v EnableTracing /t REG_DWORD /d ""5"" "。 - 刷新操作状态并从 %windir%\tracing 收集日志。
Windows 8 及更高版本的 DirectAccess 客户端计算机将“无 Internet”报告为 DirectAccess 连接的状态，而网络连接状态指示器 (NCSI) 报告受限连接。	在 DirectAccess 配置中启用了强制隧道，因此仅使用 IPHTTPS 时，可能会发生这种情况。 若要解决此问题，可以创建并配置代理服务器。 然后，NCSI 使用代理服务器执行 Internet 连接检查。 建议使用以下过程将静态代理添加到名称解析策略表 (NRPT) 。 在运行此过程中的命令之前，请确保将所有域名、计算机名称和其他Windows PowerShell命令变量替换为适合部署的值。 为 NRPT 规则配置静态代理： 1. 显示“.”NRPT 规则： Get-DnsClientNrptRule -GpoName "corp.example.com\DirectAccess Client Settings" -Server <DomainControllerNetBIOSName> 2. 记下“” (GUID) 的名称。NRPT 规则。 GUID) (名称应以 开头 DA-{..} 3. 设置“.”的代理到 proxy.corp.example.com:8080的 NRPT 规则： Set-DnsClientNrptRule -Name "DA-{..}" -Server <DomainControllerNetBIOSName> -GPOName "corp.example.com\DirectAccess Client Settings" -DAProxyServerName "proxy.corp.example.com:8080" -DAProxyType "UseProxyName" 4. 显示“.”再次运行 Get-DnsClientNrptRuleNRPT 规则，并验证 ProxyFQDN:port 是否已正确配置。 5. 在客户端内部连接时，通过在 gpupdate /force DirectAccess 客户端上运行来刷新组策略，然后使用 显示 NRPT Get-DnsClientNrptPolicy 并验证“.”规则是否显示 ProxyFQDN:port。